tmxklab

1. EAT(Export Address Table) EAT(Export Address Table)는 라이브러리 파일에서 제공하는 함수를 다른 프로그램에서 가져다 사용할 수 있도록 해주는 핵심 메커니즘이다. 즉, EAT를 통해서만 해당 라이브러리에서 익스포트하는 함수의 시작 주소를 정확히 구할 수 있다. IAT와 마찬가지로 PE 파일 내의 IMAGE_EXPORT_DIRECTORY에 익스포트 정보를 저장하고 있다. IAT와는 달리 PE파일에 IMAGE_EXPORT_DIRECTORY 구조체는 하나만 존재한다. [ PE파일에서 IMAGE_EXPORT_DIRECTORY 구조체의 위치 ] IMAGE_OPTIONAL_HEADER32.DataDirectory[0].VirtualAddress 값이 실제 IMAGE_EXP..

IAT(Import Address Table)의 설명에 앞서 먼저 DLL에 간략히 알아보자. 0. DLL(Dynamic Link Library) 1) DLL DLL은 실행 파일에서 해당 라이브러리의 기능을 사용 시에만 참조하여 호출하는 방식의 라이브러리를 뜻한다. Static Link Library와 다르게 컴파일 시점에 실행 파일에 함수를 복사하지 않고 함수의 위치 정보만 가지고 해당 함수를 호출할 수 있게 도와준다. 즉, 프로그램에 라이브러리를 포함시키지 않고 별도의 파일(DLL)로 구성하여 필요한 함수만 불러쓴다. 이러한 방식의 장점으로는 여러 프로그램에서 동시에 사용할 수 있으며, 라이브러리가 업데이트되었을 때 해당 DLL 파일만 교체하면되므로 쉽고 편하다. 다만 실행 파일이 DLL에 있는 특정 ..

PE파일이 메모리에 로딩되었을 때 각 섹션에서 메모리의 주소(RVA)와 파일 옵셋을 잘 매핑해야 하는데 이러한 매핑을 'RVA to RAW'라고 부른다. 먼저 섹션 헤더의 구조체인 IMAGE_SECTION_HEADER에서 주요 멤버를 살펴보자 VirutalSize : 메모리에서 섹션이 차지하는 크기 VirutalAddress : 메모리에서 섹션의 시작 주소(RVA) SizeOfRawData : 파일에서 섹션이 차지하는 크기 PointerToRawData : 파일에서 섹션의 시작 위치 [ Process ] 1) RVA가 속해 있는 섹션을 찾는다. 2) 간단한 비례식을 사용해서 파일 옵셋(RAW)을 계산 [ 비례식 ] RAW - PointerToRawData = RVA - VirtualAddress RAW ..

1. 트위터(Twitter) Week in OSINT #2018-22 Last weeks edition was very well received, so I guess there really is no turning back any more! In that case, without further ado, here is this week’s “Week in OSINT”... laptrinhx.com 1) 트위터 정보 분석방법 트웨터에서 사용자 정보, 트윗/리트윗 정보, 위치정보가 주 수집 대상 Twitter Analytics for Tweets, Timelines & Twitter Maps | Social Bearing From Date - Any date - Today (23/07/2021) 1 day a..

1. 검색엔진을 활용한 위협정보 수집 1) 검색엔진 정보수집 활용 ① Google/Bing 검색엔진을 활용한 수집 특정 키워드(제품명, 모델명, 회사/부서명, 업무명, 파일명, URL 경로)를 이용하여 검색 참고로 Google과 Bing을 동시에 활용해야 한다. 왜냐하면 Google에서는 안나오는 것이 Bing에서 나올 수도 있기 때문이다. ② 트위터 해시태그(#)을 활용한 정보수집 트위터 검색창에서 해시태그 검색 사용빈도가 높은 키워드 #0day #RCE #CyberSecurity #Exploit #CyberBreach #Leaked DataBreach, CyberBreach 이런식으로 "Breach"라는 것을 붙이면 유출된 정보들을 확인할 수 있음 특히, 업무 중에서 악성코드를 분석하는 사람들은 샘플..

1. 휴민트 지능정보(HUMINT) 1) 휴민트 지능정보(Human Intelligence) 개요 ① 정보기관 및 기업 인적정보, 협력사 등 Supply Chain 대상 인적 정보 수집 기업 고위 임원(Clevel) 신상정보, 공무원, 국가기관 연구원 등 ② 사이버 보안, 범죄자 정보 수집 APT 해킹그룹, 해킹 공격 타겟대상 고위 임원, 각종 범죄관련 인적정보 ③ 주요 수집 경로 Linkedln : Email 주소, 이름, 소속회사, 프로젝트 수행 등 facebook : Real Name, 소속회사, 주변 친구 및 지인 정보 수집 Google / Bing : 검색을 통해 특정 회사 정보 수집 제안서 같은 거를 통해서 어떤 서버를 쓰는지 알 수 있음 메뉴얼을 알 수 있음, 이 말은 메뉴얼을 통해 서버에 ..

1. Cyter Threat Hunting 개요 1) 사이버 위협 헌팅(Cyber Threat Hunting)이란 OSINT를 활용하여 다양한 위협 정보를 찾는 보안 활동 OSINT는 인터넷 상에서 수집할 수 있는 모든 정보로써 대상과 범위가 한정되지 않음 2) 사이버 위협 헌팅에서 수집하는 위협정보 Leaked Resource : IT정보(관리자 페이지, 내부망 정보, DB 접속정보, 해킹 흔적) 해킹으로 유출된 자료 : DB Dump, 전자파일, 도면 등 Credential 정보 : AWS 키, Google Oauth Token, Naver/Kakao Credential 정보 개인정보 : 전화번호, 생년월일, UserID/Password, Email & Password 최신 취약점 공격(CVE-코드)..

후킹의 목적은 정상 API 호출을 차단하여 API에 전달되는 파라미터를 모니터링하거나 API에서 반환되는 값을 필터하는 것이다. 공격자가 악성 커널 드라이버를 설치하여 커널 공간에서 후킹을 시도할 수 있다. 커널 컴포넌트가 시스템 작동에 매우 중요한 역할을 하기 때문에 커널 공간에서 후킹은 유저 공간에서 후킹하는 것보다 강력하다. 따라서, 커널 공간에서 이루어지는 다양한 후킹 기술과 탐지 방법을 살펴보자 1. SSDT 후킹 커널 공간에 존재하는 SSDT(System Service Descriptor Table)은 커널 익스큐티브(ntoskrnl.exe, ntkrnlpa.exe 등)에서 export한 서비스 루틴의 포인터를 포함한다. Window API 호출 흐름 0. 목차 1. 커널 메모리 내용 2. 유..

참고) I/O 관련 작업(Device Driver, I/O Manager) 여기서 다루는 내용은 Device Driver와 I/O Manager에 중점을 둔다. 다음 그림은 유저단에서 WriteFile() API 함수를 호출했을 때 I/O Manager와 Device Drvier가 처리하는 과정이다. syscall(x64) 또는 sysenter.. rninche01.tistory.com 1) devocetree 플러그인 Device Tree정보를 확인 vol_2.6.exe -f --profile= devicetree 2) driverirp 플러그인 특정 드라이버 또는 모든 드라이버와 관련된 주요 IRP 함수를 표시 vol_2.6.exe -f --profile= driverirp -r -r옵션을 지정하지 ..

1. kernel mode rootkit 루트킷과 같은 프로그램은 커널 드라이버를 커널 모드에서 코드를 실행할 수 있음 커널 공간에 실행되면 내부 OS 코드에 접근하여 시스템 이벤트의 모니터링, 함수 후킹, 호출 테이블 수정 등 가능 커널 드라이버는 드라이버 서비스 유형의 서비스를 생성할 때 로드 커널 드라이버는 .sys확장자를 가지며 %windir%/system32/drivers에 존재 일반적으로 루트킷은 유저 모드 컴포넌트(EXE or DLL)와 커널 모드 컴포넌트(Device Driver)로 구성되며 루트킷의 유저 모드 컴포넌트는 지정된 메커니즘을 통해 커널 모드 컴포넌트와 통신한다. 통신 방법과 관련 컴포넌트를 이해하기 위해서 다음 링크를 참고하자 관련 보호기법) ① 커널 모드 코드 서명(KMCS..